（计算机软件与理论专业论文）nids歧义流量矫正系统.pdf

摘要 随着计算机网络技术的发展，网络攻击从单一攻击源、简单的攻击模式向大规模多 层次入侵、复杂的攻击模式发展。攻击者采用各种网络技术实施逃避网络入侵检测的攻 击，导致网络入侵检测系统的漏报，对网络入侵检测的准确性提出了更高的要求。 本文针对逃避网络入侵检测的攻击展开研究，分析了利用攻击数据包在网络终端及 网络入侵检测系统间的歧义逃避网络入侵检测的攻击。目前该领域的相关研究缺乏对歧 义的通用描述和定义，对歧义的处理方式也较为简单，没有充分考虑到实际应用环境。 因此本文明确了歧义的定义和概念，对i p 、i c m p 、t c p 和u d p 这四种网络协议中出现 的歧义及其矫正方案作出详细的分析和论述。同时提出并设计实现了n i d s 歧义流量矫 正系统，通过对网络流量中的歧义进行矫正，例如在i p 层对i p 分片进行重组和重叠矫 正以及在t c p 层对t c p 重叠分段进行矫正，维护网络数据在网络入侵检测系统和各终 端系统行为的一致性，使隐藏在网络流量中的i n s e n i o n 和e v a s i o n 攻击被有效地检测。 论文最后给出对系统的功能测试与性能测试。 本文提出的歧义流量矫正系统能够有效地对网络歧义流量进行矫正，内核实现方式 保证了该系统作为网络串行设备的性能。对于研究逃避网络入侵检测的攻击以及维护网 络入侵检测系统的准确性具有积极意义。 关键词：网络安全网络入侵检测歧义流量 a b s t r a c t a st 1 1 ed e v e l o p m e n to fn e t w o r kt e c l l l l i q u e s ，n e 铆o r ka t t a c k se v o l v e s 舒o ms i m p l ea i l d i n d i v i d u a lt oc o m p l e xa 1 1 dc o o p e r a t i v e ，s o p l l i s t i c a t e da t t a c k e r sc a ne v e nl e a da t t a c k si l l u d i n g n i d s ( n e 铆o r ki n t r u s i o nd e t e c t i o ns y s t e m ) w h i c hc a u s en e g a t i v ea l e r t s ，t l l u sr e s u l ti ng r e a t c h a l l e n g et on e t w o r ki n t r i s i o nd e t e c t i o nt ok e e pi t sa c c u r a c y t h e r e f o r e ，r e l a t i n gw o r k si si n t r o d u c e da 1 1 dr e s e a r c hw o r ko nn e “v o r ka t t a c k si l l u d i n g n e t w o r ki n t m s i o nd e t e c t i o nw h i c hm a k eu s eo fm e 锄b i g u o u sn e t w o r k 仃a 筋ci sc a m e do u t a tb e g i 姐i n go ft h i sd i s s e r t a t i o n t h ep r o e e s so fn e t w o r kp a c k e t si nd ；仟e r e n ts y s t e m sc a nb e i n c o n s i s t e n ta c c o r d i n gt od i 插玎e n tn e t 、v o r kp m t o c o ls t a c ki i i l p l e m e n t a t i o n sa 1 1 dd i 丘e r e n t n e “旧r kl o c a t i o n s n m s ，n i d sc 锄o td e t e m l i n ew h e m e rm ep a c k e t s 、析ub er e c e i v e db y e n d - s y s t e m sa 1 1 dh o wt l l e y 谢1 1b ei n t e 印r e t e da 1 1 dp r o c e s s e d t l l i si n c o i l s i s t e n c e 血d i 饪- e r e n t s y s t e m si ss o c a l l e d “锄b i g u i t y ，h o w e v e r ，t 1 1 e r ei ss t i l ln oa c c u l a c yd e 觚t i o no f “锄b i g 哪” f u r 也e r m o r e ，t 1 1 ed e f i l l i t i o no f 锄b i g u i t yi sd e s c r i b e di nd e t a j la sw e l la s l e 锄b i g u i 哆i n 皿 i c m p ，t c pa i l du d pn e t w o r kp r o t o c o l s a na m b i g u i 够e 1 i m i n a t o rf o rn i d si s 恤np r e s e n t e d i tl o c a t e si nt l l ep a _ t 1 1o fn e t w o r ks t r e a m sa n dn o m a l i z e sn e t v m r k 仃a 伍c 行o m 锄b i g u o u st 0 w e l l - b e h a v e db ys u c ha sr e a s s e 瑚【b l i n go v e r l a p p i n gi p 疳a g m e n t s 姐dc o r r e c t i n go v e r l a p p i n g t c ps e g m e m s ，w 1 1 i c hi sa i l l l e da tr e m o v i n gm e 锄b i g u i 够a i l dm a l ( i n gb o 廿11 1 1 s e n i o na 1 1 d e v a s i o na t t a c k sb ed e t e c t e d b yn i d s i nt 1 1 i s p a p e r ， b e s i d e sd e t a i l e d d e s i 弘 a n d i m p l e m e n t a t i o no fa m b i g u i t ye l i m i n a t o rf o rn i d sa sap r o t o t y p es y s t e m ，m er e s u l to fb o m s y s t e m s 矗m c 廿o na l l dp e r f b m l a n c et e s t sa r ep r e s e n t e d t h es y s t e mc a l le 疵c t i v e l ye 1 证1 i 1 1 a t e 锄b i g u 蚵i nn e 铆o r k 仃a 衔cs e e nb yn i d s m o r e o v e r ，t h ep e r f o m a l l c ei se n s u 】汜da sm es y s t 锄i si m p l e m e m e da sap a r to fo p c r a t i i l g s y s t e mk e m e l t h ep a p e rp l a y sap o s i t i v er o l ei i lr e s e a r c l l i 】唱a t t a c k sd e s c r i b e da b o v ea sw e l l a sp r o t e c t i n gn i d s sa c c u r a i l c y k e yw o r d s ：n e 觚o r ks e c u r i 劬n e t 、o r ki n n j r s i o nd e t e c t i o n ，a m b i g u o u sn e 似o r kt r a 伍c i i 图表目录 图l 一1c e i 玎安全隐患统计1 图1 2通用入侵检测框架c i d f 2 图1 3n i d s 网络位置图3 图1 4 主动式安全防范系统8 图2 1利用t c p 重传及t t l 逃避n i d s 1 2 图2 2i p 重叠分片的不同重组策略1 3 图2 3i n s e n i o n 攻击模式1 5 图2 ，4e v a s i o n 攻击模式15 图2 5网络n 1 6 图3 1n i d s 歧义流量矫正系统a e 网络位置图2 1 图3 2i p v 4 协议首部2 2 图3 3利用i p 标识进行端口扫描示例2 4 图3 4a e 对扫描的干预一2 5 图3 5i p 分片重组举例2 6 图3 6 利用i p 重叠分片不同重组策略逃避入侵检测的示例2 7 图3 ，7a e 对i p 分片的处理2 8 图：| 3 _ - 8内部网网络协议比例图2 9 图3 9 松散源路由示例2 9 图3 1 0i p 选项结构一3 0 图3 11i c m p 报文格式3 1 图3 1 2i c m p 类型分布比例图3 3 图3 1 3t c p 首部3 4 图3 1 4重叠t c p 段矫正3 6 图3 15 恶意r s t 示例3 8 图3 1 6a e 对恶意r s t 的矫正3 9 图3 1 7t c p 状态转换图一4 0 图3 1 8s a c k 选项示例4 2 图3 1 9 时间戳选项格式4 3 图3 2 0t c p 选项分布图( 单位) 4 4 图3 2 1u d p 首部4 4 图3 2 2n i d s 歧义流量矫正系统体系结构图4 5 图3 2 3i p 分片重组的存储结构图4 6 图3 2 4i p 分片重组流程图一4 6 图3 2 5a e 维护的t c p 连接状态转换图4 7 图4 1n i d s 歧义流量矫正系统网络环境4 9 图4 2网卡驱动在操作系统内核中的上下承接作用5 0 图4 3 数据包的发送流程5 0 图4 4 数据包的接收流程5 1 图4 气n t d s 姑_ ! ；f 流量矫f 系统的内核棒接点一5 2 图4 6i p 重叠分片矫正示意图5 2 图4 7t c p 连接状态迁移矩阵5 4 v 图4 8t c p 连接中未确认字节段存储结构5 4 图4 9t c p 字节序列号分布情况5 5 图4 1 0 不同t c p 字节序列号分布对应的矫正结果5 5 图4 1 1对已确认t c p 字节的操作5 9 图4 1 2n i d s 歧义流量矫正系统测试部署6 0 图4 ，1 3 - ai p 重叠分片测试示例l ，矫正前的三个重叠分片6 0 图4 1 3 bi p 重叠分片测试示例1 ，对重叠分片矫正重组后的i p 报文6 0 图4 1 3 ci p 重叠分片测试示例1 的示意图6 0 图4 1 4 ai p 重叠分片测试示例2 ，矫正前的三个分片6 l 图4 1 4 - bi p 重叠分片测试示例2 ，对重叠分片矫正重组后的i p 报文一6 l 图4 1 4 一ci p 重叠分片测试示例2 的示意图6 l 图4 15 at c p 重叠分段测试，矫正前的重叠分段6 1 图4 一1 5 - bt c p 重叠分段测试，矫正后的分段6 2 图4 1 5 ct c p 重叠分段测试示意图6 2 图4 1 6 a 携带数据负载的s y n 报文6 2 图4 1 6 - b 矫正后的s y n 报文6 2 图4 1 7i c m p 报文的r t t 测试6 3 图4 1 8 加载a e 前后，系统对u d p 报文的处理时间6 4 图4 1 9 加载a e 前后，系统对t c p 报文的处理时间6 5 图5 1主动式安全防范系统展示6 9 图5 2n i d s 歧义流量矫正系统应用环境7 0 图5 3 a经过t c p 分段重叠构造的w e b a t l a c k s u s 讹i i 邺e r l 攻击报文7 0 图5 3 _ b经矫正的t c p 重叠分段觚怕嘶e r l 攻击报文7 l 图5 3 c还原出的u s r b i i 邺e d 攻击t c p 报文7 l 图5 4 _ aw 曲a t t a c k sx t e m lc o m m a i l da t t e m p t 攻击的3 个i p 分片7 2 图5 4 - b 经n i d s 歧义流量矫正系统还原后的i p 报文7 2 图5 4 cn i d s 检测出的x t e 蛐c o m m a l l da t t e m p t 攻击一7 3 图5 5 。a 加载a e 之前n m a po s 探测结果7 3 图5 5 - b 加载a e 之前n i d s 对n m 印0 s 探测的告警7 3 图5 5 c加载a e 后n m a po s 探测结果7 4 图5 5 d加载a e 后n i d s 对n m a po s 的告警7 4 图5 6 - ax s c a l l 探测后，n i d s 的告警略图7 5 图5 6 - b加载a e 后，n i d s 对x s c a i l 的告警7 5 表2 1重叠i p t c p 重组策略举例1 3 表2 2r s t 报文处理策略举例1 4 表3 1已注册的i p 选项3 1 表3 2i c m p 消息类型3 2 表3 3t c p 选项4 l 表4 1n i d s 歧义流量矫正系统与类似系统性能比较一6 8 v i 东南大学学位论文 独创性声明及使用授权说明 一、学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 二、关于学位论文使用授权说明 签名：墟为凌日期：泖7 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 签名：獬我 期：汐秒莎6 7 1 1 网络安全现状 第1 章引言 在网络技术和硬件技术飞速发展的今天，基于网络的计算机应用已经融入到社会生活 的各个方面。同样处于发展中的网络入侵( n e t w o r ki n t r u s i o n ) 成为干扰网络正常运转的主 要因素之一，给网络用户带来了巨大的损失。图1 - 1 展示了c e i 玎c c ( c o m p u t e re m e r g e n c y r e s p o n s et e 锄c o o r d i n a t i o nc e n 仃e ，计算机紧急响应小组协调中心) 从1 9 9 5 年到2 0 0 5 年 第三季度的安全隐患统计，从中可看出明显的增长趋势。 图1 1c e i 盯安全隐患统计8 各种网络攻击技术利用了计算机系统和计算机网络存在的安全隐患6 ，呈现出复杂化和 多样化的发展趋势【l 】：从单一攻击源发展到大规模、多层次入侵：从简单攻击模式( 运用 种攻击手段一次性实施攻击) 发展到复杂攻击模式( 在时问、空i 剐和逻辑上具备相关性 的一组攻击行为的集合) 。复杂多变的网络入侵和分布在各个层面的安全隐患对入侵行为 的识别、阻断、追踪以及网络的安全防范提出了更大的挑战。单一的网络安全防护设施已 经很难满足网络安全的发展要求，因此需要一个立体纵深的多层次防御体系，将防病毒、 防火墙、网络入侵检测和漏洞扫描等多层面的防御机制有机结合，相互联动补充，把对网 络安全的控制基于不同的安全策略分布到各个安全域中1 2 j 。入侵检测起到对网络和主机行 为进行审计、判断入侵行为是否发生的作用，因此在网络安全的实践中得到了广泛的重视 和应用。 。h t t d ：w ww c e r t o r g ，s t a t s c e r ts t a t s h t m j 6 计算机安全研究组织s a n s 发布的2 0 0 5 年2 0 大互联网安全隐患”排行榜显示，w i n d o w s 漏洞、u n i x 漏洞、平台应用 和网络产品所存在的安全隐患均被列入2 0 大威胁之列，h 仕p ：v v w w s a i l s o r 酣o p 2 0 l 东南大学硕士学位论文 1 2 入侵检测的研究现状 1 2 1 入侵检测的概念 入侵( i n t r u s i o n ) ，企图破坏计算机系统或计算机网络的机密性、完整性和安全性， 穿越安全边界的行为。网络入侵的步骤可分为获取目标系统信息、获得对系统访问的权利、 获得系统超级用户的权利和消除入侵痕迹乃至摧毁系统。入侵者可以利用网络传输和协议 的漏洞、系统的漏洞以及管理的漏洞攻击系统，实施入侵。网络入侵技术按照攻击后果可 分为扫描、拒绝服务( d o s ，d e i l i a lo f s e r v i c e ) 和获得系统资源控制权( u s e rt or o o t ，r e m o t e t ou s e r r e m o t et or o o t i t e m o t et od i s kw r i t e ) 三i 类【3 1 。 入侵检测( i d ，i n t n i s i o nd e t e c t i o n ) ，监测计算机系统或计算机网络中发生的事件，分 析其中是否有违反安全策略的行为。是从计算机系统或计算机网络数据中提取攻击知识的 过程。 入侵检测系统( i d s ，i ds y s t e m ) ，能自动进行入侵检测的软件或硬件产品。入侵检测 系统的功能在于识别违反安全策略的事件，并向管理层面报告。通用入侵检测框架c 1 d f 【4 j ( 图1 2 ) ，提供i d s 组件共享、数据共享，并完善互用性标准，最终建立一套开发接口和 支持工具以提供独立开发部分组件的能力。为了满足不同i d s 间的协同工作需求，增强其 互操作性，该小组制定了入侵检测消息交换格式i d m e f l 5 j ( x m l 描述) ，以面向对象的形 式表示分析器传递给管理器的警报数据，为警报提供确定的标准表达方式，并描述简单警 报和复杂警报之问的关系。 1 2 2 入侵检测技术 ：一。 一： 当 安全荒略 管理员 图1 2 通片4 入侵检测框架c i d f 入侵检测通常由三个主要的方面组成： 1 信息源不同的信息源印系统从不 司的层西提取事件来分析足否有入侵发生。 个系统的不同层次均可成为事件的来源，比如网络、主机系统以及具体的应用服务。 2 分析方法关联并分析从信息源提取的事件，判断是否符合入侵特征的方法。 2 硇毒莓 第1 章引言 通过对事件的分析，能指出入侵萨在进行或者已经发牛。 3 响应方式检测到入侵行为时系统采取的行为集合。系统的响应可采取主动和 被动的方式，主动响应即检测结果反馈到系统并自动调整安全策略或者实施响应措施：被 动响应则是由管理员根据检测结果采取相应的安全措施。 按照信息源的不同，入侵检测可分为基于网络的入侵检测( n e t 、v o r k b a s e di d ) 和基于 主机的入侵检测( h o s t b a s e di d ) 【8 】。 - 基于网络的入侵检测 基于网络的入侵检测通过捕获和分析网络数据包来检测入侵行为。它一般采用旁路接 入或交换机端口镜像的方式监听整个网段内交互的网络流量。通常，会将一组探测器 ( s e n s o r ) 设置在网络不同位置，负责监听和分析本地流量，并向控制中心报告入侵事件。 图1 3n l d s 网络位置图 这种检测方法可以通过布置少量的检测系统监测大范围的网络，对正常的网络流量没 有额 j 夕卜的彤垧。但是它较难进行一些复杂的、需要大量计算与分析时间的攻击检测，也无 法处理加密会话。网络节点的膨胀和网络流量的增长对n i d s 的处理性能提出了更高的要 求【6 】，同时逃避网络入侵检测的技术( 1 3 1 节) 已经很成熟，攻击者可以容易地获得攻击 工具实施逃避网络入侵检测的攻击，使入侵检测的准确性不能得到保证。 - 基于主机的入侵检测 基于主机的入侵检测分析独立的计算机系统内部信息来检测入侵，如系统日志、配置 信息、文件校验和等。它可以对系统的进程、用户、文件系统等进行审计，识别出系统状 态的改变，检测出网络入侵检测无法识别的攻击，并承担对加密数据的检测。其不足是， 需在每一台计算机上安装基于主机的入侵检测系统，增加了管理和升级的难度；当主机系 统被破坏时，检测系统也可能无法正常工作：同时检测系统需要占用主机系统的资源。 从入侵检测分析方法角度，有误用检测和异常检测两类】。 - 误用检测 误用检测需要事先根据已知的攻击方式定义入侵模式集合，每一种模式都提取了对应 攻击的关键特征，通过计算已知模式是否出现束判断攻击的发尘。常州的洪“检测鸽上法 有专家系统、状态转换【8 l ( 包括状态转换分析s t 衄f 4 “，有色p e t r i - n e t ，基于语言和a p i 东南大学硕士学位论文 方法) 、基于规则的检测( 如s n o r t 。) 等。 误用检测能够有效检测出已知攻击，准确度高、误报率低；检测结果包括已知的攻击 模式和可以预测的攻击后果，利于管理员采取措施或者制定响应政策。缺点是不能检测出 未知的攻击，并且需要定期对攻击模式集合如s n o n 舰则库进行维护和更新 - 异常检测 异常检测假设入侵者的活动异常于正常主体的活动。根据这一前提，建立正常活动的 模型并将当前主体的活动状况与正常活动模型比较，当偏离了定程度则认为该活动可能 是入侵。异常检测的关键在于如何建立正常的活动模型及比较算法，从而避免把正常的行 为视作入侵或者忽略真正的入侵行为。异常入侵检测可采用d e i l l l i n g 模型f 4 0 】( 可操作模型、 平均和标准偏差模型、多变量模型和m a r k o v 处理模型和时间序列模型) 、数据挖掘技术【4 l 】、 神经网络和贝叶斯推理等方法。 异常检测可以发现未知模式的攻击并具备一定的自适应能力，维护工作量小。但是在 建立正常模型阶段对系统的稳定性和纯洁性要求较高，有被攻击者恶意训练的风险。异常 检测的误报率较高，检测的准确度较低。 入侵检测的发展始终关注着提高检测入侵的准确性和检测系统自身的处理能力。在体 系结构上从单点式向分布式、与其它安全设备协同发展，采用基于主机代理【9 l 、基于分布 式网络传感器( io 】和基于移动代理【j i 的方法，关键技术在于检测信息的协同处理与入侵攻击 全局信息的提取。检测技术方面，出现了高速匹配算法、协议分析技术口4 】和命令解析技术。 同时，将神经网络、遗传算法、模糊技术和免疫原理i l2 j 等方法用于入侵特征的辨识与泛化， 利用专家系统的思想( 具有自学习能力) 来构建入侵检测系统。同时主张全面的安全防御 方案，将网络安全从管理、网络结构、加密通道、防火墙、病毒防护以及入侵检测多方位 作全面的评估，从全局观点提出安全解决方案。 1 3 研究背景 1 3 1 逃避网络入侵检测 随着n i d s 的广泛使用，入侵者首先考虑到如何使入侵行为不被识别。一般采用“攻” ( 攻击n i d s ) 或者“避”( 绕过n i d s 的监视) 的方式。前者通过攻击n i d s 使之无法正常 工作，从而使入侵在无监测的情况下实施；后者则是攻击者利用n i d s 检测技术的不完备， 构造巧妙的攻击数据包不被n i d s 识别。 。一个开源的轻量级误用网络入侵检测系统，h t t p ：，w w w s n o no 哩 4 第l 章引言 - 攻：包括直接攻击和间接攻击 1 直接攻击 直接对n i d s 进行攻击。n i d s 构建在操作系统之上，是一个复杂的网络数据处理系统， 这意味着n i d s 本身可能受到攻击( 如s m u 一、s y n n o o d 。i o l t 2 等) 。如果安装n i d s 的操 作系统本身存在漏洞或n i d s 自身防御力较差，此类攻击很有可能造成n i d s 的探测器丢 包、失效甚至崩溃。对n i d s 实施d o s d d o s 攻击消耗其c p u 、内存、网络带宽等资源， 也可以导致n i d s 无法正常工作，陷入拒绝服务状态。 2 i 司接攻击 利用n i d s 的入侵响应功能进行间接攻击，使大量的入侵日志消耗系统资源，隐藏真 正的入侵，甚至造成网络设施的错误配置。例如c o r e t e zg i o v a i l 血编写的s d c k 程序8 可以在 2 秒内模拟4 5 0 次攻击，告警信息的快速产生会让n l d s 产生失去反应甚至死机现象。由 于s t i c k 发出多个符合s n o r t 规则的攻击数据包，当n i d s 匹配了这些数据包特征时就会频 繁发出警告，造成管理者无法分辨警告中的真正攻击信息，从而使n i d s 失去作用。 避：绕过n i d s 的检测，针对n i d s 采用的检测方法逃避n i d s 的监视 1 ? 构造歧义的复杂t c p ，i p 包 利用n i d s 不能正确模拟所有终端的t c m p 栈行为，对t c p 口数据包进行特殊的处 理以避过检测。如将t c p ，i p 包分成很小的碎片、打乱包的发送顺序、发送数据重叠的包、 包含不正确技验和及不正确序列号等。正常的t c m p 协议栈可以正确重组和处理网络数 据包，但相当多的n i d s 不能正确处理这些行为不确定的异常数据包，忽略隐藏其中的攻 击。 2 变换攻击特征 通过编码或替换报文中特定字符、字符串，或者改变攻击工具使用的缺省端口等方式 来变换n i d s 己明确的攻击特征。例如针对h t t p 请求进行u r l 编码、u n i c o d e 编码和字 符替换插入等；通过多形态代码技术伪装s h e l i c o d e 改变溢出程序的特征码；更换后门程序 的默认端口，只要后门程序不使用默认值就可以逃过一些n i d s 的检测。 3 加密通信 采用加密通道进行入侵，n i d s 无法对加密会话的内容进行检测。 6 s m u r f 攻击，发送大量伪造的i c m 旷请求报文到广播地址，引起大量的l c ，e c h o 回复到耳标主机，造成拒绝服务的后 果。h t t p ：，w w 砒c e n o r a d v 讧o r i e s ，c a 1 9 9 8 - 0 1 _ h 仃n l e s ：r = 璺：j 攻击，向且标系统发送大量的t c p 连接请求士文：s y n j 使得合法用户的连接请求无法得到盐理。 h n p ：，、v w i s s m e “s e c u r 时c e n t e r a d v i c e 压x p l o i t 饥c p ，s y n 们0 0 d ，d e f a u l th t m j o h 2 攻击，通过不停发送i c m p ，u d p 的l p 分，使h 标系统死锁，c u p 利r 丌半让i n o o o 。 h n p ：w w w - s e c u t y s p a c ec o m ，s m y s e c u r e ，c a t i d h t m l ? i d = 9 0 2 8 h n p ：，p a c k e t s t 0 哪s e c u t m n 砌i s t r i b u t e d s t i c k h t r n 5 东南大学硕士学位论文 4 在时间和空间上减小入侵行为的关联度 例如一般的n i d s 通过在一定时间内某个i p 地址扫描过的端口数或i p 连接数是否超 过阀值来判断是否有扫描发生，如果扫描的间隔超过指定的时间，而且采用多个i p 地址协 同扫描，n i d s 就无法判断是否发生了扫描行为。 对于以上这些逃避网络入侵检测的方式，有2 种解决方案： 】与其它安全设备联合 比如采用加密通信的入侵，对加密数据的解密分析可移交给h i d s 完成，把解密运算 的工作量从网络通道分散到网络边缘，更有效地进行检测。对于变换攻击特征特别是 s h e l l c o d e 攻击，h i d s 可通过判断系统的异常行为进行检测。 2 n i d s 本身的完善与改进 首先，需要提高n i d s 自身稳定性、容错性和安全性；其次，需要对复杂的入侵进行 模式提取，采用层次型的入侵检测模型及有效的检测算法；n i d s 还需具备完备的网络协 议处理能力，对基于各种协议的网络数据进行正确完整的协议解析。 n i d s 担负着某个网段流量深层次分析的巨大工作量，其检测效率和效果足不山兼得 的。提高检测准确性必以性能为代价：反之，提高处理性能需要简化检测方法，在对特征 复杂的攻击检测上作出取舍。因此，对入侵检测的研究主要是围绕着提高检测效率和效果 这两个目标进行。本文的研究目的在于解决上述带歧义的复杂t c p ，i p 包逃避网络入侵检 测的问题，提高n i d s 检测入侵的准确性。 1 3 2 歧义问题的相关研究 歧义的提出 1 9 9 8 年n l o m a sh p t a c e k 和t i m o t h yn n e w s h a m 发表了题为i n s e n i o n ，e v a s i o n ，a n d d e n i a lo f s e i c e ：e l u d i n zn e m o r ki n t 玎i s i o nd e t e c t i o n 的技术报告【j 6 l ，首次以实例指出攻击 者可以利用n i d s 和目标系统处理特定网络数据的差异，以及对n i d s 实施d o s 攻击来逃 避入侵检测。该报告把这类逃避入侵检测的攻击归为1 1 1 s e r t i o n 和e v a s i o n 两类，并将上述 的差异总结为网络流量歧义( a m b i g u 时i nn 咖o r kt r a n 踊c ) ，意为同样的一组网络数据集 合在不同的系统( 攻击目标系统与n i d s ) 间行为的差异。同年，l b n l 实验室的v e m p a x s o n 也指出了类似逃避n i d s 检测的攻击方式【1 7 1 。而在2 0 0 2 年，d u gs o n g 发布了一个工具 行a g r o u t e 【2 叭，能够截取、修改和重写向外发送报文，实现了大部分在【1 6 】中描述的逃避n d s 检测的技术。 对歧义问题的解决 逃避入侵检测的问题提出后，很多研究小组提出了对歧义问题的解决方案，分为两类： 第l 章引言 1 对带歧义的网络数据包进行处理，使其在各系统的行为保持一致性。 2 0 0 0 年，美国密歇根大学的gr o b e nm a l a n 等人i l s 】提出一个s c 兀】b b e r 系统，通过跟踪 简化的t c p 会话状态对t c p 报文进行分析处理，着重改善针对t c p 层的h l s c n i o n 和e v 越i o n 攻击，消除网络数据在t c p 层可能引起的歧义。在进一步的研究中【捌，该研究小组又提出 了p r a t o c o ls n l b b c r s 系统，基于简化的t c p 状态机处理t c p 歧义攻击流量，同时削弱i c m p 扫描流量。其中t r a n s p o r ts c n l b b e r 模块通过整形传输层的歧义流量消除隐藏其中的攻击， f i n g e r p r i ms c m b b e r 模块旨在破坏攻击者对目标网络或者主机的扫描。这种对歧义的处理方 式主要是集中在t c p 层，通过分析操作系统对网络数据包进行t c p 协议解析时的不同处 理方式带来的不同结果，对会产生不同结果的数据包在t c p 层进行处理，使它们在不同的 系统上产生一致的结果。s c m b b e r 对报文的解析主要是依据了简化的t c p 状态机，模拟 t c p 连接状态的转化，检查符合正常连接状态的t c p 数据包是否存在歧义，并根据t c p 协议规范的网络行为修正数据包。 m a r k h a l l d l e y 和v e m p a x s o n 借鉴了 1 8 】的研究，提出了按网络协议层次分析歧义的 方法并设计了n o m a l i z e r 系统，在网络流量进入n i d s 监测范围之前对网络数据进行整形， 消除其中逃避入侵检测的特征( 歧义) 。对于分析各层网络协议中歧义的方法，只要分析 是完备的，从理论上可以完全消除网络流量中的歧义。但是对网络数据的处理不可避免会 影响正常的网络数据通信。该研究对歧义问题的矫正思想将对网络协议的分析引入到攻击 实施手段的分析中，体现出对网络协议的误用，以及各操作系统对网络协议实现方式的差 异所产生的安全隐患。n o 珊a l i z e r 处理歧义的出发点是在不改变各网络节点对网络协议实 现方式的差异的情况下，尽可能地规范对网络协议的使用，使同样的网络数据在不同的系 统中解析后产生一致的结果。 2 对n i d s 检测网络流量不做操作，扩充n i d s 的网络节点信息搜集能力。 u m e s hs h a n k a r 【2 1 l 采用了a c t i v em a p p i n g 的方法为n i d s 补充相关的网络信息来解决歧 义问题，为n d s 扩充了一个网络节点信息的搜集部件m a p p e r 。m a p p e r 探测内部网络的 拓扑结构和网络节点操作系统的特征，存储在h o s tp m f i l et a b l e 中供n i d s 使用。n i d s 在 分析网络数据时需要不断查询数据库，结合网络信息和数据包目标系统信息判断是否构成 攻击。这种方式在很大程度上影响到n i d s 的效率，并且网络节点的增多会使得数据库更 为庞大，增加了更新和维护的难度。 g r e g1 砒e c k 【2 如比较了【2 l 】的工作，将被动操作系统探测技术应用到补充n i d s 网络节 点的系统信息中，为内部网络节点所使用的操作系统建立一个特征数据库，使n i d s 在检 测攻击时结合目标主机操作系统对网络数据的处理方式来提取攻击特征，有效识别试图逃 避检测的攻击。 在解决歧义问题的两种不同角度的研究中，第一类试图将n i d s 所监测的网络流量从 歧义的处理为未非歧义的，使这样的网络数据在任何系统中产生无多义性的结果。这类方 法无需对n i d s 再次开发，体现了n i d s 的功能独立性。但是目前的研究在对网络流量进 7 东南大学硕士学位论文 行协议分类和解析中，处理过于简单化，如对t c p 连接的处理都是基于简单的单向协议状 态转换模型，不能很好地反映网络流量状态变迁，同时没有充分考虑到所应用的网络环境 的实际情况。第二类的研究以增加n i d s 对网络节点信息的感知能力为代价来改善歧义问 题，这种方式牺牲了n i d s 的部分性能和资源，并且需要提供额外的资源存储相关网络信 息。网络信息是动态变化的，同时n i d s 需要模拟不同类型的系统的网络协议实现方式。 这种方式即增加了额外的资源开销和n i d s 系统本身的开销，又需要在n i d s 内部针对不 同系统相应开发，巨大的资源耗费是该方法的弱点。 本研究要解决的问题 歧义问题的提出目前仅以具体的实例来说明，体现为个例化，缺乏通用的描述。因此 本文将提出歧义的形式化描述，用于通用网络协议的逐层分析中，讨论相对应的歧义。本 文采用上述第一类方法解决歧义问题，弥补现有研究中对t c p 连接状态的简化处理以及对 实际网络环境的忽略等不足，提出n i d s 歧义流量矫正系统。通过对歧义网络流量的协议 解析，进行针对性的矫正处理，以消除特定网络协议行为中的歧义，并通过跟踪t c p 连接 状态维护n i d s 在特定网络环境下的攻击检测能力。 1 4 项目背景 对逃避网络入侵检测的研究以江苏省科技厅的科技计划项目高技术研究( 工业部分) 课题“主动式安全防范系统的研究”( 课题编号b ( 也0 0 4 0 3 6 ) 为背景。系统以防火墙为核 心，分布式集成了多种网络安全技术，如入侵检测、安全扫描等，能主动进行安全检测并 动态防御攻击( 图l 一4 ) 。该主动式安全防范系统涵盖了n p 防火墙【2 6 ”j 、扫描器1 2 4 j 、入侵 检测系统和安全策略中心【2 5 】这四种安全设备。其中入侵检测系统属网络入侵检测，采用误 用检测和异常检测两种检测方法，支持入侵检测系统协同信息交互支撑框架1 2 9 】。误用检测 集成了运用p e t r i 网理论提出的种具备复杂攻击检测能力的层次型入侵检测系统【”，异常 检测则采用n 喀r 锄算法对基于特定服务的网络负载进行异常行为的识别唧j 。安全策略中 心负责访问控制策略及相应策略的制定和管理，扫描器组件提供内部网络节点系统漏洞扫 描功能，防火墙负责执行策略中心的指令，提供高性能的访问控制服务。 管理员 图l - 4 主动式安全防范系统 8 第1 章引言 主动式安全防范系统具有主动检测、动态防御、高性能和高扩展性的特点。扫描器模 块对内部网络主机进行扫描，发现存在安全漏洞则按照用户配置的策略进行响应，它能在 攻击行为发生之前检测到漏洞，从而避免针对漏洞的攻击，体现了某种程度上的主动性。 n i d s 实时检测网络状况，一旦发现攻击行为，通知安全策略中心。安全策略中心根据相 关数据和安全策略决定和防火墙的联动，实时阻断攻击。通过安全策略中心对多个安全设 施的协调工作，系统能够发现来自外部的攻击，并通过动态修改防火墙规则来响应攻击， 实现了动态防御。安全防范系统才用了基于网络处理器n p 的硬件防火墙架构，具有吞吐 量高、包延迟小和丢